学习记录和开发记录

在ApacheCXF的Sample里以及网上很多有关RESTful HTTPS双向认证的文章介绍仅仅是理论，没有涉及实际环境的实现(客户端和服务端都是localhost)；这几天使用Apache的CXF以及 Apache portable HttpClient实现跨IP的JAXRS HTTPS双向认证实现。在实践中发现tomcat版本7.0.70和7.0.68在TLS/SSL支持上也存在差异。

首先，颁发者和使用者信息不同，只是自己一手在操作，在windows上需下载Win32OpenSSL-1_1_0g.exe（或者64位程序）。 1，【颁发者】（ca）需要一份private key和certificate，如下生成：[私钥]openssl genrsa -des3 -out ca.key 2048[证书]openssl req -new -x509 -days 7305...

首先，是openssl自签名证书(颁发者和使用者信息完全相同)，仅供nginx的测试使用； 1，生成私钥：openssl genrsa -des3 -out merrick.key 2048 2，产生自签名证书：openssl req -new -x509 -days 3650 -key merrick.key -out merrick.crt... 3，查...

首先，源密钥库是JSSE规范的JKS格式，存在的也只是自签名证书；其次，获取目标为openssl格式的私钥以及自签名证书，供nginx开放ssl测试用； 1，生成JKS格式密钥库，含自签名证书：keytool -genkey -v -alias merrick -keyalg RSA -storetype JKS -keystore test1.jks -dname "CN=l...

gpedit.msc：[IP安全策略]/[IP筛选操作]/[IP筛选列表]/[IP筛选器]/[IP筛选规则]对应[policy]/[filteraction]/[filterlist]/[filter]/[rule]在UI中路径为 ：控制面板\所有控制面板项\管理工具\本地安全策略\IP安全策略，在本地计算机\------------------------------------...

记录一下web应用的环境安全设计的问题，涉及操作系统、web容器、框架、组件、协议...... 1，页面表单提交时后台token验证2，HTTPS：服务端单向验证、双向验证（可使用自签名证书）3，防刷新重登录，登录鉴权后加入重定向4，登录使用强密码5，提交表单使用验证码6，HTTPOnly Cookies，防止JS脚本读取cookie7，隐藏服务器信息（协议Se...

理论可以参考百度；关于加密解密过程降解，觉得比较好的：一篇博文因客户要求把web页面提交/验证改用RSA算法加密密文传递到后台：1，js/jsp客户端部分RSA加密密码；2，服务端Java解密；基本流程：a：以RSA算法在服务端生成密钥对（PublicKey,PrivateKey）,session中保存私钥；b：把公钥Base64编码为Base64字符串通过http r...

接上篇，记录一下使用apache cxf和spring使用自签名数字证书实现WebService服务端及客户端的xml签名、加密以及解密和签名验证；这里仅针对客户端加密和签名并在服务端实现解密及签名验证的单向认证的情形，双向认证可以参照官方sample改进；实现：客户端使用客户端私钥进行消息签名、客户端使用服务端公钥消息加密；服务端使用客户端公钥进行签名验证、服务端使用服务端私...

ApacheCXF框架API实现了WS-Security协议，其中包括xml签名、用户令牌、时间戳等； 实现目标：在SOAP WebService的服务端实现客户端身份认证、时间戳形式的安全机制；(密钥加密及签名方式认证待续)运行环境：apache-cxf-3.1.6、jdk1.7、tomcat7.0.68 cxf框架和spring高度集成，示例安全机制服务端基于sprin...

1，生成key私钥文件，如：openssl genrsa -des3 -out www.merrick.com.key 2048 2，生成csr文件，如：openssl req -new -key www.merrick.com.key -out www.merrick.com.csr -config openssl.cnf 3，提交CSR文件至第三方合法证书机构并缴费...